RGPD ?

Depuis le 25 mai 2018, les entreprises et collectivités locales doivent se mettre en conformité avec le nouveau règlement européen de protection des données appelé RGPD. L’impact de ce nouveau règlement est important, et en cas de manquement, les amendes pourront aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise concernée ou 20 millions € pour les administrations. Afin d’être en conformité avec les obligations, les points suivants devront être observés :

Le règlement s’applique également en dehors de l’Union Européenne.

Consentement clair, explicite et non ambigu nécessaire.

Obligation d’établir un registre des traitements.

Un nouveau droit à l’oubli : il sera possible à quiconque d’exiger l’effacement de ses données personnelles.

Un nouveau droit à la portabilité des données : les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant dans un format « informatique ».

Un nouveau droit d’opposition au profilage : les personnes ont le droit de s’opposer aux décisions issues de traitements automatisés.

En cas d’incident de cybersécurité affectant les traitements (par exemple vol de données personnelles), il sera obligatoire de notifier l’autorité nationale ad hoc (CNIL en France) ainsi que les personnes concernées.

Pour certains types d’organisation (comme les collectivités locales) ou en cas d’existence de traitements à risque, il faudra nommer un délégué à la protection des données (Data Protection Officer en anglais) qui conseillera le responsable des traitements et sera en liaison avec l’autorité de contrôle.

Les applications qui peuvent avoir des impacts sur la protection de données ou les applications susceptibles d’être à risque devront être précédées d’une analyse d’impact relative à la protection des données (ou DPIA) qui débouchera sur des mesures appropriées.

DPO ?

La nomination d’un DPO est souvent obligatoire, notamment dans les institutions publiques et les entreprises gérant des traitements à grande échelle (entre autres). Quand il ne l’est pas, il reste vivement conseillé et est à voir comme une aide précieuse dans le maintien de votre conformité dans la durée.

Le DPO est avant tout un chef d’orchestre capable de coordonner les actions des différents services en les aidant à atteindre leurs objectifs tout en restant conformes avec la réglementation.

Le rôle du DPO est complexe. Outre d’excellentes connaissances en informatique et en cybersécurité, il doit avoir une bonne culture juridique, notamment en droit des nouvelles technologies. Il est aussi un excellent communicateur et un négociateur confirmé.

Le DPO doit assurer au minimum les missions décrites dans le règlement :

  • Informer et conseiller sur toutes les questions du RGPD

  • Contrôler la bonne application du règlement

  • Vérifier les DPIA (Data Protection Impact Assesment)

  • Être le point de contact de l’autorité de contrôle

  • Gérer les plaintes et les litiges des personnes concernées

  • Est consulté systématiquement dans l’obligation du « privacy by design » et « privacy by default »

  • Est consulté lors de violation des données (fuites…)

Mais ce n’est pas limitatif : vous pouvez confier à votre DPO d’autres tâches pour autant qu’elles ne rentrent pas en conflit avec ses missions obligatoires.

1 DPO, 3 solutions IT Mètis

DPO Externalisé IT Mètis

Nommer un DPO en interne peut être problématique. Il sera souvent en conflit d’intérêts, aura une disponibilité limitée ou manquera de légitimité. Ainsi, nommer un DPO Externalisé IT Mètis est une solution pragmatique.

DPO Mutualisé IT Mètis

Les structures ayant des activités similaires peuvent mutualiser les services d’un DPO. A travers les offres DPO.BZH, les groupements de communes, syndicats, groupements hospitaliers et EPHAD pourront opter pour un DPO Mutualisé.

Accompagnement DPO

Les entreprises et collectivités locales désireuses de nommer un DPO en interne pourront bénéficier de l'appui d'IT Mètis pour réaliser les différentes étapes nécessaires à la mise en conformité au RGPD et à son maintien.